בעוד שהשנים האחרונות לוו בהתפתחות טכנולוגית מואצת וחסרת תקדים, עולה במקביל גם המודעות לאיומי הסייבר, כאשר יותר ויותר ארגונים חווים אירועי סייבר כולל מתקפות סייבר מורכבות. בשנה שבה צפויות טלטלות רבות בכלכלה העולמית, עולה החשיבות להיערכות לאירועי סייבר והעצמת המוכנות להתמודדות עם אירועים אלו באופן מקיף בכלל הארגון, לרבות האחריות של בעלי תפקידים בכירים בתאגידים וארגונים. עניין זה מופיע גם השנה בדו"ח הסיכונים העולמיים לשנת 2023 של הפורום הכלכלי העולמי בדאבוס, המדגיש שעל ארגונים להמשיך ולהיערך להתמודדות עם אירועי סייבר כסיכון משמעותי.
על מנת להתמודד בהצלחה עם אירוע סייבר, על מקבלי ההחלטות הבכירים בארגון להוביל תהליכים, שיאפשרו לארגון להיערך מבעוד מועד ויסייעו בהתמודדות מוצלחת עם האירוע במהלכו. כמו כן, הם יסייעו בבניית שפה משותפת, סדר עדיפויות מוגדר ובחיזוק החוסן הארגוני לטובת התאוששות מהירה ובטוחה מהאירוע. המלצה זו מבוססת על ההבנה שאירוע סייבר הוא לא רק אירוע טכנולוגי והוא עשוי להוביל למשבר עסקי במידה ואינו מטופל כראוי. היערכות מתאימה, על כן, תצמצם את היקף הפגיעה ברציפות העסקית, תקצר את משך האירוע ותסייע גם בתהליכי ההתאוששות ממנו בכלל ההיבטים - תפעוליים, פיננסיים ואף תדמיתיים.
חברות המתמחות בניהול משברי סייבר ובסיוע לארגונים להתמודד עם אירועי סייבר, רואות בכל יום שחברות שצלחו משברי סייבר בצורה מוצלחת לא היו בהכרח אלה בעלות הטכנולוגיות החדישות ביותר, אלא אותן חברות שעשו שימוש נכון ומושכל במערכות שעמדו לרשותן, דאגו לפיתוח תהליכים מסודרים ולמימושם, כולל מול הדרגים הבכירים בארגון, תוך היערכות מקדימה לאירוע, במהלכו וכן בשלב ההתאוששות ממנו.
שלוש אסטרטגיות
מניסיוננו המצטבר, במאות אירועי סייבר ברחבי העולם, ישנן שלוש אסטרטגיות שמוטב שכל ארגון יקדם על מנת לצמצם משמעותית את היקף הפגיעה, בעת משבר סייבר:
1: להפוך את הפרדיגמה
איננו יודעים מהיכן תגיע המתקפה, מי יהיה התוקף או מה יהיה מועד התקיפה, אבל אנחנו יודעים היכן היא תתרחש: בסביבה הדיגיטלית של הארגון. הידע שיש לנו על מרחב התקיפה הינו יתרון המאפשר לכל ארגון לעצב את מרחב ההגנה שלו נגד התוקפים. דבר זה דורש הבנה מעמיקה של הסביבה הדיגיטלית הארגונית וראייה רחבה של מערכות הארגון, על מנת לזהות את פערי האבטחה ולהתמקד בנכסים הקריטיים ובאזורים הרגישים בארגון. את התובנות האלה יש לממש באמצעות תוכנית פעולה מפורטת, שתאפשר צמצום משמעותי של משטח התקיפה ומניעה של פגיעה מהותית בליבת הארגון ובתהליכים עסקיים קריטיים במהלך האירוע. היערכות נכונה תאפשר יצירה הסחות או הטעיות, שיעניקו למקבלי ההחלטות בארגון זמן יקר להתמודדות עם האירוע במהלכו.
2: לצמצם את משך האירוע והיקפו
תרגול מביא להבנה טובה יותר של תרחישים עתידיים המותאמים למאפייני הארגון, במיוחד כשזה מגיע למוכנות לאירוע סייבר. כיום מקובל לתרגל בשתי רמות עיקריות: הרמה הניהולית - הכנת צוות ההנהלה לנווט משבר סייבר על-ידי ביצוע "משחקי מלחמה", המייצרים תרחיש המדמה ככל האפשר את המתח והדילמות איתם יתמודד הארגון לרבות כלל בעלי התפקידים המרכזיים בו: מנכ"ל, סמנכ"ל כספים, סמנכ"ל תפעול, יועץ משפטי, אנשי הדוברות וחברי וחברות הדירקטוריון. למנהל אבטחת המידע ישנו תפקיד מכריע, הן בהיבטי הידע המקצועי והן בהיבטי הניהול, ביכולת של כלל בעלי העניין להתמודד כקבוצה עם האירוע. רמה נוספת הינה הרמה הטכנית - במסגרת זו, הוא נדרש להכנת בעלי התפקידים לפעולה בעת אירוע באמצעות שימוש נכון במערכות ובנייה ותרגול של תהליכים תומכים, כל זאת באמצעות תרגול תיאורטי ומעשי. ארגונים מתקדמים מבצעים את התרגולים האלה באופן המותאם לאיום עליהם ולמאפייני הפעולה העסקיים של הארגון. לעיתים, ארגונים אלה, מגיעים למצב שבו הם מצליחים לממש מדרגת תרגול מתקדמת המשלבת בין הרמה הניהולית והרמה הטכנית. שילוב זה מאפשר לאותם ארגונים להגיע לרמת מוכנות מקיפה יותר.
במפגש היום-מיומי עם ארגונים בגדלים שונים ובסקטורים מגוונים, ניכר שעל אף השונות ישנו דמיון גדול באתגרים איתם הם צריכים להתמודד בעת אירוע סייבר. אתגרים אלה מדגישים את החשיבות שבתכנון של אסטרטגיה מקדימה והחלטה ארגונית-פנימית כיצד לנהל את תהליכי קבלת ההחלטות בעת האירוע. בתהליך כזה, ייתקל הארגון בשאלות כגון: מתי מעדכנים את העובדים ואת בעלי העניין, מתי מדווחים לרשויות, באיזה שלב מוציאים הודעה לתקשורת על המקרה, מה המשמעות והסיכון לרציפות העסקית? האם מנהלים מו"מ עם התוקף במידה ורלוונטי?
אמנם כל ארגון ואירוע הם בעלי מאפיינים שונים, אך קרוב לוודאי שהנהלות שמתחילות לדון בדילמות אלו בפעם הראשונה רק במהלך האירוע יבזבזו זמן יקר ויחמיצו את היכולת לפעול ולהגיב בצורה שתצמצם משמעותית את היקף הנזק אותו יספוג הארגון בכל היבט - תפעולי, תדמיתי, פיננסי ותשתיתי. יתר על כן, הכנה נכונה תצמצם את תהליך השיקום והתאוששות של הארגון לאחר האירוע.
3: למזער את יתרון ההפתעה של התוקף
לתוקף יש את החופש לפעול בעיתוי שיבחר ובצורה זריזה, בעוד שארגונים עלולים להגיב באיטיות בגלל חסמים שונים, כמו בירוקרטיה פנימית או היעדר סדר פעולות המנחה אותם כיצד לנהוג באירועים מתפרצים. כדי להתמודד עם התוקף בצורה מוצלחת, יש לוודא שנערכים היטב עם פרוטוקולים מפורטים של הפעולות המיידיות הדרושות בעת אירוע סייבר. פרוטוקולים אלה כוללים פעולות של פתיחת חדר מצב לניהול המשבר, הקמת ערוצי תקשורת פנימיים וחיצוניים שישמשו בעת אירוע להעברת מסרים והנחיות, ביצוע תדריכי מנהלים והקמת פורומים לקבלת החלטות אסטרטגיות וטקטיות.
שלב משמעותי בהתמודדות עם האירוע הוא בחיבור לחברות המתמחות בתגובה לאירועי סייבר ומסוגלות לתמוך בארגון במהלך האירוע על כלל היבטיו, לרבות הבנה טכנולוגית מדויקת של האירוע, המאפשרת התמודדות עם התוקף באמצעות הכלת התקיפה וחסימת יכולת החזרה, יכולת משא ומתן במידת הצורך, הגנה מידית על הנכסים הקריטיים של הארגון, התאוששות עסקית, חזרה מהירה לרציפות עסקית, ובנוסף, תמיכה בכל התהליכים העסקיים, המשפטיים, הפיננסיים והתקשורתיים ועבודה מול הרשויות השונות, בהתאם לאופי האירוע.
לסיכום, ארגונים שישכילו להשקיע בהכנות להתמודדות עם אירוע סייבר ובהבנה של כלל המשמעויות העסקיות והטכנולוגיות הנגזרות ממנו, ישפרו משמעותית את מוכנותם ואת תהליכי קבלת ההחלטות, מה שיוביל לצמצום היקף הנזק ולעיתים אף יקצר את משך האירוע, במקביל להגדלת ההתאוששות ממנו.
הכותב הוא סמנכ"ל תגובה לאירועי סייבר בסיגניה (SYGNIA). לשעבר אל"מ ביחידה 8200 ונספח הסייבר הראשון של ישראל בארה"ב
בשיתוף סיגניה
